根据定义访问列表拒绝域

根据定义访问列表拒绝域

我正在尝试使用 Squid 3.1.19 在我的 ubuntu 12.04 上阻止一些网站。以下是我的 ACL 的视图。`

根据定义访问列表拒绝域

acl ym dstdomain .yahoo.com  microsoft.com facebook.com youtube.com
http_access deny ym

使用上述脚本,它不起作用。记住!squid3.conf 在 gedit 编辑器中打开。请指导我哪里错了?

答案1

如果我们读到Squid 文档中列出的警告

在 ssl_bump 处理过程中,dstdomain ACL 不会起作用。该 ACL 依赖于尚未解密的 HTTP 消息详细信息。而是提供使用 CONNECT、SNI 或服务器证书主题名称(以可用者为准)的 ssl::server_name acl 类型。

dstdomain仅检查Host:客户端发送的 -header。此功能不适用于 SSL/TLS 会话。

我们还看到以下内容ACL配置文档,在 Squid 3.5 的新功能下:

新类型 ssl::server_name 和 ssl::server_name_regex 匹配来自各种来源的服务器名称(CONNECT 授权机构名称、TLS SNI 域或 X.509 证书主题名称)。

所以 squid >3.5 支持 SNI 检查,并且可以基于 HTTPS 证书和 SNI 进行阻止。Squid 3.1 不能。

完整的 ACL 文档可以在以下位置找到:http://www.squid-cache.org/Doc/config/acl/

您需要升级到较新的 squid 版本和较新的 Ubuntu 版本。您不能指望五年前的软件能够在像互联网这样快速变化的环境中正常工作。

相关内容